Repubblica inciampa nel PGP

L'autorevole quotidiano pubblica un articolo sui problemi incontrati dagli inquirenti nell'accedere alle informazioni crittate nei computer palmari sequestrati ai brigatisti Lioce e Galesi. Le inesattezze e le palesi assurdità non si contano: ma come funziona davvero il sistema di crittografia che sta tenendo sotto scacco nientemeno che il mitico FBI?



[ZEUS News - www.zeusnews.it - 29-04-2003]

Ancora un caso di autorevole disinformazione. L'articolo pubblicato da Repubblica il 26 aprile scorso, firmato da Claudia Fusani, vorrebbe spiegare all'ampio pubblico dei lettori i motivi per i quali anche il FBI starebbe incontrando serie difficoltà nel decrittare alcune informazioni, protette con PGP, memorizzate nei tre palmari sequestrati ai brigatisti Lioce e Galesi. Purtroppo, basta una rapida scorsa al testo per individuare vere e proprie assurdità disseminate ovunque: la tecnologia in questione è complessa, ma è possibile semplificare senza arrivare allo strafalcione.

Secondo l'autrice, l'impossibilità di decifrare le informazioni deriverebbe dal rifiuto, da parte del produttore dei palmari, di fornire agli investigatori le informazioni necessarie alla decrittazione: "gli algoritmi su cui si basano i codici sorgenti, cioè le chiavi per decrittare il programma". A parte il fatto, noto a chiunque abbia almeno minime conoscenze in materia, che PGP è un programma open source, i cui sorgenti sono liberi e a disposizione di chiunque desideri studiarli, sfiora il ridicolo affermare che i sorgenti medesimi siano le chiavi di decifrazione. Da utilizzare, ad ogni buon conto, per decifrare i dati, non certo il programma...

Un codice sorgente è, per definizione, il programma in sé, così come viene digitato dal programmatore secondo i formalismi imposti dal linguaggio di programmazione scelto. Si tratta di un insieme di parole chiave e altri elementi, leggibile da un umano ma non da un microprocessore: esso subisce perciò diverse trasformazioni (compilazione, linking) per assumere il formato binario eseguibile dalla macchina. Niente a che vedere, dunque, con chiavi di decrittazione: ma, forse, "codice" è la parola, galeotta, che ha confuso le idee alla Fusani.

In concreto, cosa sono le chiavi? Si tratta di comuni file, generati da PGP sulla base di una password scelta dall'utilizzatore. Ogni utente, tramite quella password, ottiene da PGP due chiavi, tra loro differenti ma, dal punto di vista matematico, simmetriche: si può dire che ciascuna ha bisogno dell'altra per funzionare. Una è la cosiddetta chiave privata, che deve essere gelosamente conservata e tenuta segreta, perché rappresenta (dal punto di vista di PGP) una sorta di carta di identità digitale del proprietario; l'altra è la chiave pubblica, che deve essere distribuita a tutti i corrispondenti dai quali si desidera ricevere informazioni crittate. Naturalmente, si devono ottenere le chiavi pubbliche dei corrispondenti ai quali si desidera rendere disponibili informazioni cifrate. Tutte le chiavi pubbliche, compresa la propria, e quelle private (se ne può avere più di una) sono archiviate in due file, detti public keyring e private keyring: forse per questo l'autrice parla di "specialissimo mazzo di chiavi", ma non ha alcun senso affermare che il produttore del palmare sia in grado di ottenerlo e si dimostri riluttante a comunicarlo alle autorità per timore che il proprio prodotto perda una presunta fama di inviolabilità, con ingenti danni per la sua immagine sul mercato.

Ecco come agisce la "simmetria matematica" delle chiavi: le informazioni vengono crittate utilizzando contemporaneamente le chiavi pubbliche di tutti i corrispondenti ai quali si desidera renderle leggibili; volendo, è anche possibile generare una sorta di certificato di autenticità mediante la propria chiave privata. Ciascun corrispondente può così decifrare mediante la propria chiave privata le informazioni a lui destinate; la chiave pubblica del mittente gli consentirà di verificarne autenticità e integrità. Si noti come nessuno abbia necessità di rivelare ad altri la propria chiave privata, con il drastico abbattimento del rischio che essa sia intercettata da terzi. Inoltre, la diffusione della chiave pubblica al di fuori della cerchia di corrispondenti non produce effetti nocivi: chi ne entra in possesso può usarla esclusivamente per cifrare informazioni destinate al suo proprietario o per verificare l'autenticità di un messaggio da questi proveniente. In nessun caso la chiave pubblica di un soggetto può decifrare informazioni a lui destinate, o dallo stesso cifrate.

Va poi sottolineato che conoscere il codice sorgente di un programma di crittografia come PGP non consente assolutamente la decifrazione automatica dei dati crittati con le chiavi generate da un utilizzatore, né il calcolo delle chiavi stesse. In buona sostanza, il "segreto industriale e, forse, il timore di ingenti perdite in borsa" non c'entrano nulla con la poca collaborazione offerta dalla Psion, la "multinazionale imperialista" che starebbe diventando "la principale alleata della nuova lotta armata": in realtà, è verosimile che, semplicemente, né il produttore del palmare né quello del suo sistema operativo siano in grado di fornire alcuna informazione specificamente utile per decifrare i dati memorizzati sulle macchine.

Ciò è vero, naturalmente, a patto che sui modelli di palmare sequestrati non sia installata una versione di PGP modificata dal produttore mediante l'inserimento di una backdoor, cioè una modifica non documentata all'algoritmo di cifratura, tale da consentire la decrittazione mediante una sorta di "super password" conosciuta solo dal produttore stesso. Ma l'articolo di Repubblica non sembra fare esplicito riferimento, neppure per cenni, a tale ipotesi, che rimane pertanto una semplice congettura.

Ma allora i segreti dei brigatisti sono destinati a rimanere tali? La risposta è no, perché nessun sistema di crittografia è inviolabile: l'attacco a forza bruta, consistente nel provare a decifrare i dati con tutte le chiavi possibili, è comunque destinato al successo. Il problema è, piuttosto, che l'elevatissimo numero di chiavi possibili potrebbe richiedere, dal punto di vista statistico, un numero medio di tentativi così alto da risultare effettuabile, anche sugli elaboratori più potenti oggi disponibili, in tempi non congrui con le esigenze delle indagini. Mesi, forse anni.

Ma, più dei tempi di elaborazione, a preoccupare la Fusani sembra essere il rischio che "troppi tentativi falliti, peraltro, possono cancellare tutto": assurdo, dal momento che, come l'articolo stesso afferma, gli investigatori stanno lavorando su copie dei dati.

Errori tanto macroscopici possono derivare da scarsa competenza tecnica in materia di crittografia o, nella migliore delle ipotesi, da un tentativo malriuscito di semplificazione. Il risultato è, comunque, desolante. Ancora una volta, il lettore "medio" ottiene una immagine fosca e distorta delle tecnologie informatiche e dei loro possibili usi, col risultato che sarà sempre più facile, per governi e polizie, giustificare leggi liberticide e invasive della nostra sacrosanta e già pericolante privacy.

Non va mai dimenticato che le tecnologie non sono buone o cattive in sé: tutto dipende dall'uso che se ne fa. E se è vero che un terrorista può celare informazioni alla Giustizia utilizzando sistemi evoluti di crittografia, quegli stessi sistemi possono essere utilizzati dalle aziende per combattere lo spionaggio industriale o da chi vive in Paesi oppressi da regimi totalitari per comunicare in barba agli occhiuti agenti segreti del suo stesso governo. Fermare lo sviluppo tecnologico è impossibile e, del resto, consentire l'uso di certe tecnologie esclusivamente alle forze di polizia avrebbe l'unico risultato di discriminare i cittadini onesti, perché i criminali non si farebbero certo scrupoli a trasgredire.

Sono concetti, questi, che nell'articolo di Repubblica non fanno neppure capolino: speriamo che non siano stati "dimenticati" di proposito.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (ultimi 5 di 22)

Stigli
spiegazione- Leggi tutto
12-2-2004 10:26

Giuseppe Rossi
Repubblica, la regina della disinformazione Leggi tutto
27-6-2003 21:01

luca
Ottimo, ma spero vivamente ne sia stata mandata una copia pure a Repubblica (e alla giornalista), altrimenti di questo articolo staremo a bearcene tra i soliti 4 gatti (anche 40 o 400, il risultato non cambia).Comunque, sempre avanti cos', luca.
8-5-2003 12:08

uno
brute force ... mah Leggi tutto
7-5-2003 02:14

Giuliano
A chi a parlato di XOR Leggi tutto
6-5-2003 11:53

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Dove alloggerai (o hai alloggiato) durante le vacanze, quest'anno?
In un campeggio.
In un hotel.
In una casa in affitto.
In un villaggio turistico.
In un agriturismo.
In un ostello della giovent¨.
Nella mia seconda casa.
A casa di parenti o di amici.
A casa mia: niente vacanze quest'anno.

Mostra i risultati (2690 voti)
Maggio 2021
La scorciatoia da tastiera che scongela il Pc
Bye bye, Emotet
Bambini e smartphone, 1.500 euro di multa ai genitori che non li sorvegliano
Aprile 2021
Office manda in pensione Calibri: quale nuovo font preferite?
Windows 10, arriva l'Eco Mode per far tornare scattante il Pc
Microsoft pronta a lanciare Cloud PC, il desktop in streaming
Aggiornamento Windows 10, problemi di tutti i tipi
Se l'FBI, zitta zitta, si mette a patchare i server altrui
Colpevoli di ransomware
Tutti gli home banking sono a rischio, se usi Facebook
Windows 10 rileverà la presenza dell'utente davanti al computer
Yahoo Answers chiude i battenti per sempre
Aggiornamento urgente per iPhone e iPad
Marzo 2021
La macchina di Anticitera
Hacker contro Richard Stallman, la macchina del fango
Tutti gli Arretrati
Accadde oggi - 9 maggio


web metrics